Dịch vụ cập nhật Windows Server ( WSUS ) là dịch vụ cập nhật cho phép quản trị viên quản lý tập trung các bản vá và cập nhật bảo mật cho các sản phẩm của Microsoft (Windows, Office, SQL Server, Exchange, v.v.) trên các máy tính và máy chủ trong mạng công ty. Hãy nhớ lại ngắn gọn cách thức hoạt động của WSUS. Máy chủ WSUS được lên lịch để đồng bộ hóa với máy chủ Microsoft Update trên Internet và tải xuống các bản cập nhật mới nhất cho các sản phẩm đã chọn. Quản trị viên WSUS chọn bản cập nhật nào phải được cài đặt trên các máy trạm và máy chủ của công ty. Máy khách WSUS tải xuống và cài đặt các bản cập nhật được yêu cầu từ máy chủ cập nhật của công ty theo các chính sách đã định cấu hình. Máy chủ cập nhật WSUS của riêng bạn cho phép bạn tiết kiệm lưu lượng truy cập Internet và quản lý cài đặt cập nhật trong công ty linh hoạt hơn.
Microsoft cũng cung cấp các hệ thống cài đặt bản cập nhật khác cho các sản phẩm của họ, chẳng hạn như SCCM (Trình quản lý Cấu hình Trung tâm Hệ thống). Tuy nhiên, không giống như nhiều sản phẩm khác, máy chủ WSUS hoàn toàn miễn phí (trên thực tế, phần mềm cập nhật trong SCCM - SUP, Software Update Point, cũng dựa trên WSUS).
Trước khi phát hành Windows Server 2012, phiên bản mới nhất của máy chủ Microsoft Update là Windows Server Update Services 3.0 SP2 - WSUS 3.2, không hỗ trợ các hệ điều hành hiện đại (như Windows 10 và Windows Server 2012 R2 / 2016). Cùng với việc phát hành nền tảng máy chủ mới, Microsoft đã giới thiệu phiên bản mới của WSUS 6.0 (thật lạ, vì theo logic, phiên bản này nên được đặt tên là WSUS 4.0…).Về cơ bản không có gì mới trong phiên bản WSUS mới trong Windows Server 2012 R2 / 2016. Lưu ý rằng hiện tại không thể tải xuống gói cài đặt WSUS riêng biệt từ trang web của Microsoft, nó được tích hợp vào bản phân phối Windows Server và được cài đặt như một vai trò máy chủ riêng biệt. . Ngoài ra, WSUS 6.0 còn giới thiệu khả năng quản lý việc cài đặt các bản cập nhật bằng PowerShell.
Trong bài viết này, chúng tôi sẽ trình bày các vấn đề cơ bản về cấu hình và cài đặt vai trò WSUS trên Windows Server 2012 R2 / Windows Server 2016.
Cách cài đặt vai trò WSUS trên Windows Server 2012 R2 / 2016?
Trong Windows Server 2008, WSUS được phân bổ cho một vai trò riêng biệt có thể được cài đặt thông qua Quản lý máy chủ bàn điều khiển. Trong Windows Server 2012 R2 / 2016, điều này không được thay đổi. Mở Bảng điều khiển quản lý máy chủ và chọn vai trò của Dịch vụ cập nhật máy chủ Windows (hệ thống sẽ tự động lựa chọn và đề nghị cài đặt các thành phần cần thiết của máy chủ web IIS).
Chọn tùy chọn Dịch vụ WSUS , sau đó bạn cần chọn loại cơ sở dữ liệu mà WSUS sẽ sử dụng.
WSUS trên Windows Server 2012 hỗ trợ các cơ sở dữ liệu sau:
- Cơ sở dữ liệu nội bộ của Windows (WID);
- Microsoft SQL Server 2008 R2 SP1, 2012, 2014, 2016 trong các Phiên bản Enterprise / Standard / Express.
Theo đó, bạn có thể sử dụng WID Cơ sở dữ liệu nội bộ của Windows (Cơ sở dữ liệu nội bộ của Windows), miễn phí và không yêu cầu cấp phép bổ sung. Hoặc bạn có thể sử dụng cơ sở dữ liệu SQL Server cục bộ hoặc từ xa chuyên dụng (trên một máy chủ khác) để lưu trữ dữ liệu WSUS.
Cơ sở WID mặc định được gọi là SUSDB.mdf và được lưu trữ trong thư mục % windir% \ wid \ data . Cơ sở dữ liệu này chỉ hỗ trợ xác thực Windows (không phải SQL). Phiên bản cơ sở dữ liệu nội bộ (WID) cho WSUS được gọi là server_name \ Microsoft ## WID . Cơ sở dữ liệu WSUS lưu trữ cài đặt máy chủ cập nhật, siêu dữ liệu cập nhật và thông tin máy khách WSUS.
Cơ sở dữ liệu nội bộ (Cơ sở dữ liệu nội bộ của Windows) được khuyến nghị nếu:
- Tổ chức của bạn không có và không có kế hoạch mua giấy phép cho SQL Server;
- Không có kế hoạch sử dụng cân bằng tải WSUS (NLB WSUS);
- Nếu bạn định triển khai một máy chủ WSUS con (ví dụ:tại các văn phòng chi nhánh). Trong trường hợp này, bạn nên sử dụng cơ sở dữ liệu WSUS tích hợp sẵn trên các máy chủ phụ.
Cơ sở dữ liệu WSUS WID có thể được quản lý thông qua SQL Server Management Studio (SSMS), nếu bạn chỉ định trong chuỗi kết nối sau:\\.\pipe\MICROSOFT##WID\tsql\query .
Lưu ý rằng trong các phiên bản miễn phí của SQL Server 2008/2012 Express, có giới hạn về kích thước cơ sở dữ liệu tối đa - 10 GB. Rất có thể, giới hạn này sẽ không đạt được (ví dụ:kích thước của cơ sở dữ liệu WSUS cho 3000 máy khách là khoảng 3 GB). Cơ sở dữ liệu nội bộ của Windows được giới hạn ở 524 GB.
Nếu bạn cài đặt vai trò WSUS và cơ sở dữ liệu MS SQL trên các máy chủ khác nhau, có một số hạn chế:
- Máy chủ SQL có cơ sở dữ liệu WSUS không thể là bộ điều khiển miền;
- Máy chủ WSUS không thể đồng thời là Máy chủ Dịch vụ Máy tính Từ xa.
Nếu bạn định sử dụng cơ sở dữ liệu tích hợp sẵn WID (đây là tùy chọn khá được khuyến khích và khả thi ngay cả đối với cơ sở hạ tầng lớn), hãy kiểm tra Cơ sở dữ liệu tùy chọn.
Sau đó, bạn cần chỉ định thư mục để lưu trữ các bản cập nhật (khuyến nghị nên có ít nhất 10 GB dung lượng trống trên đĩa đã chọn).
Kích thước của cơ sở dữ liệu WSUS phụ thuộc nhiều vào số lượng sản phẩm và phiên bản hệ điều hành Windows mà bạn định cập nhật. Trong một tổ chức lớn, kích thước tệp cập nhật trên máy chủ WSUS có thể lên tới hàng trăm GB. Ví dụ:kích thước thư mục WSUS của tôi là khoảng 400 GB (các bản cập nhật cho Windows 7, 8.1, 10, Windows Server 2008 R2, 2012 / R2 / 2016, Exchange 2013, Office 2010 và 2016, SQL Server 2008/2012/2016 được lưu trữ) . Hãy ghi nhớ điều này khi lập kế hoạch không gian lưu trữ cho các tệp WSUS của bạn.
Nếu trước đây bạn đã chọn sử dụng cơ sở dữ liệu SQL riêng biệt, bạn phải chỉ định tên của máy chủ cơ sở dữ liệu, Phiên bản DB và kiểm tra kết nối.
Sau đó, vai trò WSUS với tất cả các thành phần cần thiết sẽ được cài đặt. Khi quá trình cài đặt kết thúc, hãy chạy Bảng điều khiển quản lý WSUS trong Trình quản lý máy chủ.
Bạn cũng có thể cài đặt máy chủ WSUS với cơ sở dữ liệu nội bộ bằng lệnh PowerShell sau:
Install-WindowsFeature -Name Updateservices,UpdateServices-WidDB,UpdateServices-services –IncludeManagementTools
Cấu hình WSUS cơ bản trên Windows Server 2012 R2 / 2016
Khi bạn khởi động bảng điều khiển WSUS lần đầu tiên, Trình hướng dẫn cấu hình máy chủ cập nhật sẽ tự động khởi động. Hãy xem xét các bước cơ bản để định cấu hình máy chủ WSUS bằng trình hướng dẫn.
Chỉ định xem máy chủ WSUS nhận trực tiếp các bản cập nhật từ trang web Microsoft Update hay nó sẽ tải xuống từ máy chủ WSUS ngược dòng. Tùy chọn thứ hai thường được sử dụng trong các mạng lớn để cấu hình máy chủ WSUS của một bộ phận khu vực lớn, máy chủ này nhận cập nhật từ WSUS trong văn phòng trung tâm (cấu hình này giảm đáng kể tải trên các kênh WAN giữa trụ sở chính và văn phòng chi nhánh).
Nếu bản thân máy chủ WSUS của bạn phải tải xuống các bản cập nhật từ máy chủ Windows Update và bạn truy cập Internet thông qua máy chủ proxy, bạn phải chỉ định địa chỉ máy chủ proxy, cổng và thông tin đăng nhập để truy cập nó.
Tiếp theo, kết nối với máy chủ cập nhật ngược dòng được kiểm tra. Nhấp vào Bắt đầu kết nối .
Sau đó, bạn cần chọn ngôn ngữ mà WSUS sẽ tải xuống các bản cập nhật. Chúng tôi chọn Tiếng Anh (danh sách các ngôn ngữ có thể được thay đổi thêm từ bảng điều khiển WSUS).
Sau đó, chỉ định danh sách các sản phẩm mà WSUS sẽ tải xuống các bản cập nhật. Bạn phải chọn tất cả các sản phẩm của Microsoft được sử dụng trong mạng công ty của bạn. Hãy nhớ rằng tất cả các bản cập nhật bổ sung đều chiếm dung lượng đĩa, vì vậy bạn không nên kiểm tra các sản phẩm bổ sung. Nếu bạn chắc chắn rằng không có máy tính nào chạy Windows XP hoặc Windows 7 trên mạng của mình, đừng chọn hộp kiểm cho các hệ điều hành này. Điều này sẽ tiết kiệm đáng kể dung lượng trên ổ đĩa máy chủ WSUS.
Nếu cần, bạn có thể nhập bất kỳ bản cập nhật nào từ Danh mục Microsoft Update vào máy chủ WSUS của mình theo cách thủ công.
Trên Trang phân loại , chỉ định các loại cập nhật sẽ được phân phối qua WSUS. Bạn nên chọn:Bản cập nhật quan trọng, Bản cập nhật định nghĩa, Gói bảo mật, Gói dịch vụ, Bản tổng hợp cập nhật, Bản cập nhật.
Các bản nâng cấp bản dựng Windows 10 (1709, 1803, 1809, v.v.) trong bảng điều khiển WSUS được bao gồm trong Nâng cấp lớp.
Tiếp theo, bạn nên chỉ định lịch đồng bộ hóa cập nhật - bạn nên sử dụng đồng bộ hóa tự động hàng ngày của máy chủ WSUS với máy chủ Microsoft Update. Đồng bộ hóa WSUS nên được thực hiện vào ban đêm, để không làm quá tải kênh Internet trong giờ làm việc.
Quá trình đồng bộ hóa ban đầu của máy chủ WSUS với máy chủ cập nhật ngược dòng có thể mất vài ngày, tùy thuộc vào số lượng sản phẩm bạn đã chọn trước đó và ISP của bạn.
Sau khi trình hướng dẫn hoàn tất, bảng điều khiển WSUS sẽ được khởi chạy.
Để cải thiện hiệu suất của WSUS Server trên Windows Server, bạn nên loại trừ các thư mục sau khỏi quá trình quét chống vi-rút:
- \ WSUS \ WSUSContent;
- % windir% \ wid \ data;
- \ SoftwareDistribution \ Download.
Khách hàng hiện có thể nhận các bản cập nhật bằng cách kết nối với máy chủ WSUS trên cổng 8530 (trong Windows Server 2003 và 2008, cổng 80 được sử dụng theo mặc định). Với số lượng lớn máy tính (hơn 1000), hiệu suất của nhóm IIS WsusPoll, nơi phân phối các bản cập nhật máy khách, có thể được định cấu hình theo bài viết.
Để xem các báo cáo cập nhật khác nhau trong bảng điều khiển WSUS, bạn phải cài đặt tùy chọn Microsoft Report Viewer 2008 SP1 Redistributable (hoặc cao hơn) các thành phần trên máy chủ của bạn.Trong các bài viết khác, chúng ta sẽ xem xét cách định cấu hình thêm máy chủ WSUS trên Windows Server 2012 R2 / 2016:định cấu hình cài đặt máy khách WSUS bằng Chính sách nhóm, cách phê duyệt các bản cập nhật mới và sao chép các bản cập nhật đã được phê duyệt giữa các nhóm mục tiêu WSUS.
Hãy theo dõi!